paros proxy

最近正在看一本名为《Web入侵安全测试与对策》的书。

其中介绍了一种工具叫做 paros proxy，这是一个对Web应用程序的漏洞进行评估的代理程序，即一个基于Java的web代理程序，可以评估Web应用程序的漏洞。它支持动态地编辑/查看 HTTP/HTTPS,从而改变cookies和表单字段等项目。它包括一个Web通信记录程序，Web圈套程序(spider)，hash 计算器，还有一个可以测试常见的Web应用程序攻击(如SQL注入式攻击和跨站脚本攻击)的扫描器。

 

今天拿这个工具测试了一下一个网站 http://montreal.kijiji.ca， spider运行时间非常长。并且似乎paros的窗口必须开着才能进行crawl，最小化就自动停止了。

 

1. 打开Paros

 

2. 打开IE，设置代理为 localhost:8080

 

3. 打开所有测试的网站 http://montreal.kijiji.ca 并且登陆。

 

4. 执行以上三步后，系统会自动抓取被测试站点位于URL层次树中第一层的URL（比如一个网站，其首页的URL一般为层次树第一层），并将这些URL显示在左 侧的“site”栏中，然后在site栏中选中某一个URL，右击鼠标选取spider命令或单击analyse菜单－spider命令，系统将抓取该 URL层次树中下一层次的URL。

 

5. 在主窗口中，Request是浏览器给服务器发送的原始数据，Response是服务器响应的信息。

 

以下URL不能被抓取：

• 具有非法验证的SSL站点的URL是不能被抓取的。
• 不支持多线程（也就是说：）
• 在HTML页中的某些URLS也是不能被识别的。
• 由javascrīpt生成的URLS也是不能被识别的。

虽然上述这些urls不能被自动抓取，所以我们可以将其手动增加到左侧的“site”栏中，具体的操作方法是：

• 首先我们要对被测试站点URL的层次树有很好的了解，这样我们才能知道哪个URL抓取了，哪还没有被抓取。
• 对于未被抓取的URLS，通过打开paros-工具-manual request editor，输入未被抓取的URLS，然后单击SEND按钮，完成手动加入URLS动作，添加成功后的URLS将显示在左侧的“site”栏中。（注： 此处存在一个问题，当我输入一个URL后单击发送按钮后，系统总是报错“IO erros is sending request”,查看了一下RESPONSE，结果是我发送的URLS WEB 服务器不能识别，不知道是否对输入的URLS有什么特殊的要求，待定。）

6. SCANNER：针对“site”栏中的URLS进行扫描，逐一检查对URLS分别进行安全性检查，验证是否存在安全漏洞。

• 如果想扫描"site"栏中所有的URLS，单击anaylse-scan all可以启动全部扫描。
  
• 如果只想扫描“site”栏中某一URL，选中该URL，右击鼠标，选取scan命令。
• SCANNER可以对以下几种情况进行检查：
  • SQL注入
  • 跨站点脚本攻击
  • 目录遍历
  • CRLF -- Carriage-Return Line-Feed 回车换行 等。

            注：我们可以通过anylse-scan policy进行安全检查的设置。

 

7. 查看和验证扫描结果：

• 扫描完成后，单击Report-Last Scan report,可查看当前的扫描报告。
• 根据扫描报告，对扫描结果进行验证，比如扫描结果中有一是URL传递的参数中存在SQL注入漏洞，我们将该URL及参数输入到地址栏中，验证结果。

8. 保存抓取、扫描内容。

• 保存时应注意：保存的路径不支持特殊字符，比如汉字等，否则会打不开保存后的文件。